Cyberthreat.id - Malware Qbot yang disebar lewat tautan phishing menargetkan penduduk Amerika Serikat dengan melakukan spam bertema pemilu AS untuk menginfeksi korbannya.

Qbot atau yang dikenal dengan Qakbot, Pinkslipbot, dan Quakbot, merupakan trojan perbankan dengan fitur worm yang aktif digunakan sejak 2009 untuk mencuri data keuangan dan kredensial perbankan, serta mencatat penekanan tombol pengguna, untuk menyebarkan backdoor, dan untuk menyisipkan malware tambahan.

Dikutip dari Bleeping Computer , tim Intelijen ancaman Malwarebytes Labs, menemukan email malspam yang disamarkan sebagai balasan dalam utas email yang sebelumnya dicuri, sebagai sebuah taktik untuk mendapatkan kepercayaan dari penerima email.

Menurut peneliti MalwareBytes,Jérôme Segura dan Hossein Jazi, setiap email phishing dikirim ke pengguna dengan melampirkan  spreadsheet Excel yang disamarkan sebagai file DocuSign aman yang diduga berisi informasi terkait campur tangan pemilu.

Template baru ini diadopsi untuk menyalahgunakan kekhawatiran publik terkait hasil pemilu AS tahun 2020. Selain itu, template ini diyakini akan mempermudah untuk memikat calon korban agar membuka dokumen umpan dan memungkinkan makro yang digunakan menginfeksi korbannya.

Setelah malware Qbot dijalankan dan menginfeksi komputer korban, ia akan menghubungi pusat komando dan kontrol yang dikuasai peretas untuk meminta instruksi lebih lanjut.

"Selain mencuri dan mengeksfiltrasi data dari korbannya, QBot juga akan mulai mengambil email yang nantinya akan digunakan sebagai bagian dari kampanye malspam berikutnya," ungkap Segura dan Jazi.

Selain melakukan kampanye phishing, penjahat siber juga menggunakan exploit kits untuk menjatuhkan muatan Qbot. Bot tersebut kemudian menginfeksi perangkat lain di jaringan korban menggunakan eksploitasi jaringan berbagi dan serangan brute force yang sangat agresif yang menargetkan akun admin Active Directory.

Qbot telah aktif setidaknya 10 tahun, dan sebagian besar digunakan  dalam serangan yang ditargetkan terhadap entitas perusahaan yang memberikan pengembalian investasi yang lebih tinggi, meskipun kampanye QBot terhitung jarang. Peneliti mencatat kampanye QBot dilakukan pada Oktober 2014, April 2016, dan Mei 2017.

QBot kembali aktif digunakan setelah menjadi muatan malware yang digunakan oleh geng emotet. QBot juga menjadi bagian dari kampanye phishing melalui utas email yang dibajak pada Maret 2019.

Sedangkan pada tahun 2020, Qbot digunakan untuk mendapatkan kredensial dari pelanggan lusinan lembaga keuangan AS dan untuk mengirimkan ProLock ransomware setelah kampanye spear-phishing Qbot.[]

Editor: Yuswardi A. Suud